Dados podem incluir números de telefone, detalhes de contas e código-fonte da plataforma, segundo especialista de segurança; plataforma diz que informações afetadas são de natureza pública, encontradas no próprio site
Uma brecha em dois servidores do site de acompanhantes Fatal Model pode ter tornado vulneráveis informações sensíveis, incluindo quase 70 mil perfis ligados a acompanhantes, segundo investigação do especialista em segurança Jeremiah Fowler, cofundador da firma Security Discovery – a autoria da descoberta foi confirmada por Fowler em troca de e-mails com a GQ Brasil.
Informações que podem ter sido comprometidas incluem endereços de e-mail, números de telefone, e detalhes dos dispositivos usados para o usuário acessar a plataforma. Além disso, entrariam no bolo registros internos da própria Fatal Model, incluindo código-fonte da plataforma. O misto de informações de usuários e corporativas criam o risco de que criminosos possam contatar clientes e acompanhantes fingindo serem representantes da empresa, detalha Prowler em seu blog.
/i.s3.glbimg.com/v1/AUTH_71a8fe14ac6d40bd993eb59f7203fe6f/internal_photos/bs/2023/Q/h/5Lahs2R1uYk986eevneQ/fatal-model-gq.jpg)
Site de acompanhantes foi notificado por brecha de segurança — Foto: Reprodução / Fatal Model
Um dos servidores incluiria mais de 14,6 milhões de entradas, com tamanho de 19,1 GB, de acordo com a investigação. Uma segunda conta de armazenamento, dentro da Amazon Web Services (AWS), tem outros 700 GB de arquivos (cerca de 3,5 milhões de entradas) relacionados à operação cotidiana da empresa.
No caso de contas ligadas a acompanhantes, dados potencialmente atingidos incluiriam imagens e vídeos usados para processos de verificação junto com a plataforma e fins publicitários. O material data de 2022 e 2023. Não é possível precisar quantos usuários foram atingidos pela brecha e se essas informações chegaram a criminosos.
“O banco de dados de logging foi fechado ao público no mesmo dia de minha descoberta, enquanto o servidor AWS se manteve aberto até eu enviar uma notificação”, escreve o especialista, contando que a equipe foi profissional e que não houve sinais de má conduta interna.
Fowley encontrou ambos os registros com acessos desprotegidos. “É muito raro ter duas bases de dados em nuvem distintas não protegidas por senhas”, diz à GQ Brasil. “Esses arquivos estavam disponíveis para qualquer um com uma conexão à internet, e embora seja um negócio legítimo e uma das profissões mais antigas do mundo, tanto clientes quanto acompanhantes são pessoas reais e os usuários merecem um nível de privacidade e proteção de dados.”
Em comunicado, a Fatal Model diz não haver nenhuma evidência de exposição de dados sensíveis ou informações confidenciais. Os servidores citados por Fowley correspondem a infraestruturas de teste, segundo a empresa, que também armazenam informações usadas em tarefas de desenvolvimento do serviço. Após a descoberta da abertura, camadas adicionais de segurança foram adicionadas.
“É necessário esclarecer que o servidor identificado nada mais é do que o local onde a plataforma salva todas as fotos enviadas pelos anunciantes e, posteriormente, disponibiliza de forma pública. Portanto, na prática, não houve um vazamento de informações ou dados sensíveis”, diz a empresa à GQ.
A empresa comenta que investe em medidas de segurança e iniciativas que melhorem a confiabilidade dos serviços, alvo de milhões de tentativas de ataques cibercriminosos todos os meses.
Leia a nota de esclarecimento na íntegra
O Fatal Model informa que o report enviado por Jeremiah é compatível com o acesso a dois servidores que armazenam apenas dados de debug, dados públicos e mídias públicas, como dados de teste, informações, imagens ou números de telefone que já são disponíveis amplamente no site Fatal Model para todos os visitantes.
É necessário esclarecer que o servidor identificado nada mais é do que o local onde a plataforma salva todas as fotos enviadas pelos anunciantes e, posteriormente, disponibiliza de forma pública. Portanto, na prática, não houve um vazamento de informações ou dados sensíveis.
No Fatal Model, as mídias de comparação, os números de telefone e outras informações são dados que já estão públicos na plataforma, ou seja, não são sensíveis e nem sigilosos, já que os anunciantes colocam essas informações publicamente nos anúncios para que possam ser contatados pelos contratantes. Não há nenhuma evidência de exposição de dados sensíveis e, muito menos, de vazamento destes.
A plataforma possui um compromisso sério com o combate aos perfis falsos e usuários mal intencionados. Por isso, o Fatal Model conta com mais de 300 colaboradores, dedicados em elaborar medidas de segurança e melhorias que elevam o nível de confiabilidade do site, tornando-o um ambiente cada vez mais seguro para todos os usuários.
Criado em 2016, hoje, o Fatal Model é o 27º site mais acessado do Brasil (Fonte: SimilarWeb) com cerca de 20 milhões de usuários por mês, ou seja, aproximadamente 10% da população do país. Os servidores do Fatal Model recebem mais de 5 milhões de tentativas de ataque hacker por mês.
A plataforma informa que utiliza, como primeira medida de segurança de nível global, o serviço de WAF (Firewall do aplicativo Web), que detecta e mitiga solicitações maliciosas em todas as requisições, fornecido pela Cloudflare. A Cloudflare atua em segurança de rede bloqueando 100 milhões de ameaças diariamente (Fonte: cloudflare.com).
A equipe de segurança do Fatal Model verificou há aproximadamente 20 dias que esses servidores de debug estavam com acesso público facilitado e optou por adicionar camadas de segurança, visando evitar ataques que pudessem deixar este servidor indisponível, por exemplo. Já o servidor com fotos e vídeos públicos segue com acesso público devido à finalidade do conteúdo hospedado neste.
O Fatal Model é pioneiro em medidas de segurança para combate a perfis fraudulentos, como a mídia de comparação e autenticação facial – esta com a ferramenta Facetec – utilizada amplamente em aplicativos de grandes bancos digitais.
Além disso, a plataforma conta com:
• Avaliação do nível de confiabilidade de cada anúncio
• Combate a anúncios fakes
• Sistema de denúncias
O Fatal Model agradece o report recebido por Jeremiah Fowler e acredita que ações promovidas pela Security Discovery contribuem ativamente para a segurança online de toda a internet.
